Auch im Bezug auf IT-Sicherheit gibt es „Bro-Science“ – Legenden, die immer weitergetragen und nie richtiggestellt werden. Wir stellen Ihnen die 5 populärsten vor.
Trotz hoher Medienpräsenz ist das Thema Cybersicherheit für viele Vertreter kleiner und mittelständischer Unternehmen immer noch ein Buch mit sieben Siegeln. Dies liegt zum einen daran, dass die Digitalisierung mit Siebenmeilenstiefeln voran zu schreiten scheint. Zum anderen bedeutet mediale Omnipräsenz nicht gleichzeitig ultimative Wahrheit. So kursieren Legenden, die die Diskussion und den vernünftigen Umgang mit der Materie nicht gerade erleichtern. Wir wollen hier einige Mythen vorstellen und etwas Licht ins Dunkel bringen.
Legende 1: Das Märchen von der hundertprozentigen Sicherheit
Viele Anbieter von IT-Sicherheitslösungen vermitteln den Eindruck, dass sie mit ihren Angeboten und Beratungsleistungen umfassende Sicherheit garantieren können. Bei oberflächlicher Betrachtung entsteht beim Laien der Eindruck, dass Firmen, Systeme oder auch einzelne Anwendungen vollständig immun gegen alle Arten von Angriffen gemacht werden können. In der Realität jedoch kann hundertprozentige Sicherheit niemals gewährleistet werden. Auch bei optimal abgesicherten Systemen bleibt immer ein Restrisiko. Dies liegt daran, dass die Verteidiger der IT gegen die Angreifer immer nur reaktiv vorgehen können. Es ist letztendlich ein Kampf gegen die Zeit.
Legende 2: Neu bedeutet nicht gleichzeitig sicher
Es herrscht der weit verbreitete Irrglaube, dass neu angeschaffte Systeme oder auch frisch installierte Updates die Sicherheit unmittelbar erhöhen. Es ist zwar so, dass neue Komponenten oft auch ein Mehr an Sicherheit mit sich bringen. Es ist jedoch falsch zu glauben, dass das immer so ist. Auch in der IT-Branche werden Probleme bei neuen Produkten oder Versionen oft erst in der zweiten Generation gelöst. Darüber hinaus führt die Komplexität neuer Systeme und Anwendungen häufig dazu, dass alte Probleme noch nicht beseitigt wurden. Deshalb existiert der paradoxe Zustand, dass gerade alte Systeme wegen ihrer geprüften und im Einsatz erprobten Sicherheit gerne weiter genutzt werden.
Legende 3: Hacker ist gleich Hacker
Die Berichterstattung der Medien in den vergangenen Jahren hat dazu beigetragen, dass Hacker oft als nerdige Charaktere dargestellt werden, die alleine oder in Teams uneigennützig für die gute Sache kämpfen. Es ist jedoch so, dass es verschiedene Arten von Cyberkriminellen gibt, die auch unterschiedliche Ziele und Strategien verfolgen. So gibt es private Hacker, die sich innerhalb ihrer Gruppe profilieren wollen. Es gibt politische Hacker, die systemverändernde Ziele verfolgen. Darüber hinaus existieren kriminelle Gruppierungen, die es auf Know-how abgesehen haben oder auch nur Geld kassieren wollen. Und es gibt natürlich auch staatliche Organisationen, die geopolitische Ziele auf ihre Fahnen geschrieben haben und vor allem auf Überwachung und Datendiebstahl setzen.
Legende 4: Alte Angriffsstrategien funktionieren nicht mehr
Oft herrscht der Glaube, dass altbekannte Strategien von Cyberkriminellen nicht mehr angewendet werden, sobald sie schon eine gewisse Zeit existieren oder medial diskutiert wurden. Jedoch ist der Druck auf die Hacker, ihre Vorgehensweise anzupassen, weit weniger ausgeprägt als gedacht. Vor allem Strategien, die nicht auf technischen Schwachstellen beruhen, verlieren nur langsam ihren Reiz. Wenn Sie auf das menschliche Verhalten abziehen, kann es Jahre dauern bis eine Vorgehensweise komplett aus der Mode kommt. So wurde die Betrugsmasche des CEO-Betrugs schon ab 2010 angewendet und ist immer noch en Vogue.
Legende 5: Cyberkriminelle konzentrieren sich auf Konzerne
Vor allem bei kleinen und mittelständischen Unternehmen wird oft davon ausgegangen, dass ihre Datenbestände für Hacker nicht von Interesse sind, weil diese sich auf Großunternehmen fokussieren. Diese These steht auf tönernen Füßen, denn je größer ein Unternehmen ist, desto höher ist die eigene Sensibilität für die Exponiertheit, desto stärker befassen sich die Führungskräfte mit dem Thema digitale Sicherheit und desto höher sind die Budgets, die in Cybersicherheit investiert werden. Fakt ist, dass die Größe des Unternehmens umgekehrt proportional zur Wahrscheinlichkeit eines erfolgreichen Angriffs ist. Gerade bei kleinen und mittelständischen Unternehmen funktionieren simple Angriffsmuster noch recht gut. Absolute Sicherheit ist niemals möglich. Gerade die schnellen und ständigen Entwicklungen machen es notwendig, sich permanent um notwendigen Schutz bemühen zu müssen.
Lesen Sie im März Teil 2 der „Urban Legends“ im Bereich der Cybersicherheit.